会計監査や内部統制という記事やニュースを読んでいると、「J-SOX」という言葉をよく目にすると思います。「J-SOX」とは、財務報告に係る内部統制報告制度のことで、上場企業には会計監査報告書と合わせて内部統制報告書を提出する義務があります。

この内部統制にはITに関する統制も含まれており、近年ますます重要性が高まっています。

社内SEや情報システム部の方であれば、J-SOX対応で毎年忙しい時期もあるのではないでしょうか。今回はJ-SOXの概要とその重要性について理解しましょう。
　
　

J-SOXの概要

　
J-SOXとは、日本の財務報告に係る内部統制報告制度のことを指します。内部統制とは、金融庁によって下記のように定義されています。

---

内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の４つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング（監視活動）及びＩＴ（情報技術）への対応の６つの基本的要素から構成される。

---

難しい表現がされていますが、嚙み砕いて要約すると「企業が事業を展開するうえで、従業員による不正・事故などのリスクを抑えられるように業務を遂行する体制が確立され、また運用されているかどうか」という意味です。

例えば、もしカード決済会社が決済サービスを運用する上で、従業員が不正に金額を操作できるリスクや外部から決済通信を読み取られるなどのリスクに対して対策がされていなければ、そのカード決済会社の財務報告は信頼できないですよね。

こうしたリスクに対して、従業員が操作するログやモニタリングを実施する、システムの脆弱性はパッチ適用を定期的に行う等の対策を講じ、その上で監査を受けて問題がなかったことを報告することが「内部統制報告制度」です。

内部統制報告制度では、上場企業には事業年度に会計監査報告書と併せて報告する義務があり、内閣総理大臣に提出しないといけません。
　

J-SOXの成立背景はSOX法にある

J-SOXは内部統制報告制度と説明しましたが、こうした制度が成立した背景はどのようなものなのでしょうか。

J-SOXの成立背景はアメリカの2002年制定のSOX法まで遡ります。

まずSOX法制定のきっかけは、アメリカで2001年にエンロンという巨大エネルギー会社が会計不祥事を起こしたことが発端でした。当時、エンロン社は債務隠蔽を行う巨大会計不正（日本にも最近東芝等が事件になったことを彷彿とさせますが）を行い、その不祥事が発覚して同社の株価は暴落、倒産に至りました。

さらに、エンロン社だけではなく、ワールドコムなど上場企業が会計不正を行っていたことが発覚し、アメリカにおけるコーポレートガバナンスの在り方が問われるきっかけになりました。

こうして、アメリカの企業会計・財務会計制度を信頼できるものにするべく発令されたのがSOX法です。SOX法では「企業のディスクロージャー(公開情報)の正確性と信頼性」「財務報告制度の厳格化」「投資家保護」の3点柱で成立しています。

気になった方はより詳しくSEC（Securities and Exchange Commission）と呼ばれる、アメリカの証券取引委員会からパブリックコメントが出ているのでご覧になってみてください。

https://www.sec.gov/divisions/corpfin/faqs/SOXact2002.htm

アメリカにおいてこうした不正事件が発覚し、「では日本は？」とみたときに日本でも同様の事象が起こりえる制度の緩さが指摘され、2006年に金融商品取引法が施行されるのと同時にJ-SOX法も規定に盛り込まれました。
　
　

J-SOXの内容

では、J-SOXとは具体的にどういう内容なのでしょうか。アメリカのSOX法を受けて成立したため、内容は類似しています。J-SOXは以下4つの目的を達成するように制定されています。

・財務報告の信頼性・・・企業開示の財務報告が信頼性且つ正確性が担保されていること
・事業活動にかかる法令等の順守・・・事業活動に係る法令を遵守していること
・資産の保全・・・企業保有の資産が正当な手続及び承認の下で処分・取得されること。
・業務の有効性・・・業務が合理的に行われるプロセス、体制を確立していること

この4つの目的に沿って企業が事業を行い、その結果報告される財務報告が信頼でき正確できるものになる。これがJ-SOXの求める内容です。
　
　

J-SOXの対象

　
J-SOXの対象は上場企業であると述べましたが、最近では上場前の企業にJ-SOXに沿った内部統制が求められてきています。

なぜなら、上場前の企業が内部統制監査を受けることで財務報告の信頼性と正確性を担保してもらうことで、市場での信頼を得ることができるからです。
 　
　

J-SOXの罰則

　
J-SOXに違反することが判明した場合は「内部統制報告書の重要な事項に虚偽の記載をした場合、個人には5年以下の懲役または500万円未満の罰金もしくは両方、法人には5億円以下の罰金」が科されると明記されています。

しかし、J-SOXは「内部統制監査を受け、その結果を報告すること」と規定されているため、J-SOXの違反は殆どないと言ってもいいでしょう。というのも、J-SOXが求めるのは「内部統制について監査を受け報告すること」であり、極端は話、多少の不備事項があれど監査法人に監査してもらって報告すれば、J-SOXが求める要件を満たしているためです。

ただし、内部統制監査の結果、重要な不備や不正があることが発覚すれば、財務数値も信頼できないものとして会計監査報告において指摘され、上場廃止になったり上場が一部から二部に下げられたりすることがあります。

会計監査の財務報告と同様に、内部統制報告書は監査法人が監査することで信頼性・正確性が担保されるのです。

もし内部統制と会計監査の結果、企業が用意した財務数値に不備や虚偽のリスクがある場合は、監査法人は企業に対してさらに心証を得る資料を求めたり、場合によっては監査法人が企業の財務数値は正確性・信頼性に欠けると判断して「不適正」や「意見不表明」を出したりすることもあります。
　
　

J-SOXとIT統制

近年では勘定データは殆どシステムで処理されており、IT統制の重要性が拡大しています。J-SOXは会計監査とセットで実施されますが「ITガバナンス」の在り方を問うものと言ってもいいでしょう。

筆者は4大監査法人にいましたが、J-SOXにおける内部統制監査はシステムログ、アクセス権の付与、データ修正ログ等の監査が非常に重要で、内部統制報告書で不備事項としてアクセス権の棚卸の項目が挙げられているのを何度も目にしました。

異動や退職によって業務システムにアクセスできる権限が残っていてログも確認されていないといったケースですね。

このように監査法人から指摘を受けた後は、改善を進めることになりますが、業務プロセスの変更が生じるため実は現場部門からの反発に合いやすいため、担当監査法人の意見も踏まえながら合理的に最小限な範囲で変更するとよいでしょう。

予防的コントロールで現場の方の負担をかけるより、経理部門や情報システム部門の方でシステムログを残し、モニタリングする発見的コントロールを用いる方が結果的にコストがかからないケースが多々あります。
　
　

J-SOXは今後も注目の制度

J-SOXの成立背景やJ-SOXの内容、J-SOXではIT統制が重要であることを説明しました。

近年では、東芝で内部統制の不備があり、監査法人のPwCあらたより意見表明されない等、IT統制が財務報告においていかに重要であるかを物語るニュースも多くみられます。

デジタル化・クラウド化が進むにつれて、上場企業及び上場を狙う企業においては、J-SOX及びJ-SOXにおける内部統制を確立・運用することがますます重要になってくるでしょう。

内部統制・IT統制の事例紹介